Représentant au Royaume-Uni

London calling!

Si vous êtes basé dans ou hors de l’Union européenne et que vous interagissez avec des données personnelles de citoyens britanniques, vous avez besoin d’un représentant au Royaume-Uni. Nos experts vous accompagnent dans votre démarche.

Le 28 juin 2021, la Commission européenne a adopté des décisions sur l’adéquation du Royaume-Uni au règlement général sur la protection des données (RGPD) et à la directive sur l’application de la loi (LED) de l’UE. Dans les deux cas, la Commission européenne a considéré que le Royaume-Uni était en adéquation avec ces deux textes. Cela signifie que la plupart des données peuvent continuer de circuler depuis le Royaume-Uni  sans qu’il soit nécessaire de mettre en place des garanties supplémentaires.

Toutefois, les décisions d’adéquation ne couvrent pas les données transférées au Royaume-Uni quand elles sont :

  • à des fins de contrôle concernant l’immigration,
  • ou lorsque l’exemption britannique en matière d’immigration s’applique.

Pour ce type de données, des règles différentes s’appliquent et l’expéditeur doit mettre en place d’autres garanties de transfert.

Qu’est-ce qu’une décision d’adéquation ?

Termes de la décision d’adéquation…

Une décision d’adéquation est une décision formelle prise par l’UE qui reconnaît qu’un autre pays, territoire, secteur ou organisation internationale assure un niveau de protection des données personnelles équivalent à celui de l’UE.

Le 28 juin 2021, la Commission européenne a publié deux décisions d’adéquation concernant le Royaume-Uni :

  • l’une pour les transferts de données en vertu du RGPD ; et
  • l’autre pour les transferts de données au titre de la directive relative à l’application de la loi (LED).

Ces décisions émises par la Commission européenne assurent :

Les deux décisions d’adéquation restent en vigueur jusqu’au 27 juin 2025.

La Commission européenne reprendra le dossier en 2024 pour décider s’il convient de les prolonger pour une période supplémentaire de quatre ans maximum, ou non.

…En raison du RGPD de l’UE…

La décision d’adéquation indique que le Royaume-Uni fournit une protection adéquate en termes de protection des données personnelles, quand celles-ci sont transférées de l’UE vers le Royaume-Uni.

Toutefois, les transferts de données à des fins de contrôle concernant l’immigration britannique, ou relevant de l’exemption relative à l’immigration dans la DPA 2018, sont exclus du champ d’application de la décision d’adéquation.

…et la Directive d’Application de la loi (DEL) ?

La décision d’adéquation de la DEL indique également que le Royaume-Uni offre une protection adéquate des données à caractère personnel transférées par les autorités de l’UE chargées de la prévention, de la recherche, de la détection ou de la poursuite d’infractions pénales ou de l’exécution de sanctions pénales.

 

Représentant européen Quelles sont les règles ?

Si vous êtes basé au Royaume-Uni et ne disposez pas d’une succursale, d’un bureau ou d’un autre établissement dans l’un des États membre de l’UE ou de l’EEE, mais que vous :
  • proposez des biens ou des services à des particuliers dans l’UE ou l’EEE ; ou
  • surveillez le comportement de particuliers dans l’UE ou l’EEE,
alors vous devez toujours vous conformer au RGPD en ce qui concerne ces traitements de données à caractère personnel. Si vous ne disposez pas d’un « lieu » dans l’UE ou l’EEE, le RGPD vous oblige à désigner un représentant. Ce représentant doit être établi dans un État de l’UE ou de l’EEE où se trouvent les données personnelles que vous traitez. Vous devez, par écrit :
  • définir les conditions de la relation qui unissent les parties au mandat de représentation UE,
  • autoriser le représentant à agir en votre nom,
  • et traiter avec toute autorité de contrôle ou personne concernée à cet égard.
En cas de demande ou de contrôle de la part des autorités, les coordonnées du représentant doivent être facilement accessibles et trouvables. Votre représentant peut être un individu, une société, un cabinet de conseil ou une organisation établie dans l’EEE, et doit être en mesure de vous représenter en ce qui concerne vos obligations à la mise en conformité au RGPD. Si vous êtes concernés, nous vous invitons à consulter notre page « Représentant UE », et à nous contacter.

Représentant au Royaume-Uni
Quelles sont les règles ?

Le Royaume-Uni a été un Etat membre de l’Union européenne jusqu’au Brexit qui est entré en vigueur le 1er janvier 2021. Ainsi, le Royaume-Uni a été soumis au RGPD et l’a implémenté dans sa propre loi locale. Ceci explique pourquoi le rôle de représentant UE connait un « double », ou un « miroir » au Royaume-Uni, en la personne du représentant au Royaume-Uni.

Si vous êtes basé en dehors du Royaume-Uni et n’avez pas de succursale, bureau ou autre établissement au Royaume-Uni, mais que vous :

  • offrez des biens ou des services à des particuliers au Royaume-Uni ; ou
  • surveillez le comportement de personnes au Royaume-Uni,

vous devez vous conformer au RGPD britannique concernant ces traitements de données. Cette conformité passe par la désignation d’un représentant au Royaume-Uni.

Vous devrez, par écrit, autoriser le représentant à agir en votre nom en ce qui concerne votre mise en conformité au RGPD britannique, et à traiter avec l’ICO et les personnes concernées. Le représentant peut prendre plusieurs formes : une personne physique, une société, un cabinet de conseil ou encore une organisation établie au Royaume-Uni. Le fait d’avoir un représentant n’affectera pas votre propre responsabilité ou votre responsabilité en vertu du RGPD britannique.

Exemple :

Une société de vente de produits basée dans l’EEE n’a pas de bureaux au Royaume-Uni, mais a une clientèle régulière là-bas. La société doit nommer un représentant britannique qui sera son contact direct avec les personnes concernées et l’ICO.

L’entreprise devra inclure le nom de son représentant dans les informations qu’elle fournit aux personnes concernées. Elle n’est pas tenue d’informer l’ICO, mais les coordonnées du représentant au Royaume-Uni doivent être facilement accessibles l’organe de contrôle.

Récapitulatif

En vertu de l’article 27 du RGPD, un représentant UE doit être désigné par une entreprise (responsable du traitement des données ou sous-traitant) sans établissement dans l’UE si elle vend des biens / services à destination de cette zone, ou si elle ou surveille des personnes / entreprises.

En application du RGPD britannique, une entreprise sans établissement au Royaume-Uni qui vend ou surveille des personnes / entreprises dans ce pays est dans l’obligation de nommer un représentant au Royaume-Uni.

Il en résulte que les entreprises non-établies dans l’UE ou au Royaume-Uni mais traitant des données personnelles de citoyens britanniques devront désigner les deux.

Résumé de la situation actuelle et de l’après-Brexit

ContrôleurVendre uniquement au Royaume-UniVendre uniquement en Union européenneVendre au Royaume-Uni et dans l’Union européenne
Seulement au Royaume-UniRienUn Représentant UE est requisUn Représentant UE est requis
Seulement dans l’Union européenneUn Représentant du Royaume-Uni est requisRienUn Représentant du Royaume-Uni est requis
Seulement dans le reste du mondeUn Représentant du Royaume-Uni est requisUn Représentant UE est requisUn Représentant UE et du Royaume-Uni sont requis
Au Royaume-Uni et en Union européenneRienRienRien

Si vous souhaitez en savoir plus sur le représentant au Royaume-Uni,
n’hésitez pas à nous contacter